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© Integrierte Schaltung und Verfahren zum Testen der integrierten Schaltung 
@ Integrierte Schaltung mit einer CPU und einem Anwen- 

der-ROM, gekennzeichnet durch ein Test-ROM, dessen 

Adrefcraum innerhalb des Anwender-ROM-AdreBraums 

liegt, ein CPU externes RAM sowie ein Schaitmtttel, das 

einen Zugriff nur entweder auf das Anwender-ROM oder 

das Test-ROM ermoglicht und irreversibel in einen Zu- 

stand versetzbar ist, der nur einen Zugriff auf das Anwen- 
der-ROM erlaubt. 



EEPROM 




00 



1^ 



UJ 

Q 



St 



MUX 



ROM 



Test- 
ROM 



iy/ 

1 

Beschreibung 

Die ersten Chipkartengenerationen wie Telefonkarten 
oder Krankenhauskarten konnten im wesentlichen nur Spei- 
cherfunktionen ausfuhren. Spater kamen verhaltnismaBig 
einfache Logikfiinktionen wie Zahlenveigleich oder Erzeu- 
gen von Pseudozufallszahlen hinzu. Mit dem zunehmenden 
Einsatz von Chipkarten in sicherheitsrelevanten Bereichen 
wie im Bankgewerbe, wo teils erhebliche Werte gespeichert 
werden oder wenn besonders vertrauliche Daten gespeichert 
sind, kommt zunehmend ein Mikroprozessor zum Einsatz, 
der die komplexen Sicherungs-, Verschlusselungs- und/oder 
Authentifizieningsoperationen ausfuhren kann. In zuneb- 
mendem MaBe kommen auch kryptologische Verfahren zum 
Einsatz, die einen erheblichen Rechenaufwand erfordern. 

Die in heutigen Chipkarten enthaltenen Halbleiterchips 
beinhalten also aufwendige und komplexe Schaltungen, ale 
in der Regel mit einer CPU, einem ROM, einem EEPROM 
(oder EPROM) sowie teilweise weiteren Modulen wie ei- 
nem UART, oder einem Koprozessor und einem diese ver- 
bindenden Bus gebildet sind. Der CPU ist zumeist ein RAM, 
das meistens als statisches RAM ausgefiihrt ist, zugeordnet. 
Da statische RAMs einen erheblichen Platzbedarf haben, 
sind sie. meist sehr klein und weisen nur weniger als ein 
KByte Speicherkapazitat auf. Charakteristisch fur Chipkar- 
tenprodukte ist auBerdem, daB sie nur ein bis zwei serielle 
Schnittstellen zur AuBenwelt haben, wodurch eine Daten- 
ubertragung sehr langsam erfolgt. Da intern eine parallele 
Verarbeitung mit 8 Bit erfolgt, ist eine Serien/Parallel- 
Wandlung notig, die mittels des Akkumulators per CPU 
softwaregesteuert erfolgt, wodurch auch diese Wandlung 
sehr langsam ablauft. Da die normale Dateniibertragung 
aber durch eine ISO-Norm definiert ist und nur mit einigen 
KBit pro Sekunde erfolgt, stellt dies fur den Normalbetrieb, 
also den Betrieb beim Anwender zum bestimmungsgema- 
Ben Gebrauch als beispielsweise wiederautladbare Geld- 
borse, kein Problem dar. 

Die beschriebenen komplexen integrierten Schaltungen 
miissen jedoch in ausreichender Qualitat an die Kunden aus- 
geliefert werden, so daB umfangreiche Tests notwendig 
sind, 

Diese Produkttests werden mit Hilfe einer Selftest-Soft- 
ware durchgefiihrt Deshalb beinhalten Chipkartenprodukte 
einen Testspeicher, der als ROM ausgefuhrt ist. Dieser ent- 
halt die Selftest-Software, mit deren Hilfe nach einem 
Power-on Reset Teile des Chips getestet werden konnen. 
Die Selftest-Software besteht aus verschiedenen Testrouti- 
nen, die uber Testvektoren aufgerufen werden. Diese Test- 
vektoren konnen iiber den IO-Port eingegeben werden. Da 
die GroBe des Testspeichers begrenzt ist und innerhalb der 
verschiedenen Produkte schwankt, enthalt er in der Regel 
nicht alle Testroutinen. Deshalb miissen die iibrigen Te- 
stroutinen in das EEPROM nachgeladen werden und von 
dort ausgefuhrt werden. Hierfur sind mehrere Programmier- 
und Loschvorgange notig, die im Vergleich zum eigentli- 
chen Test wesentlich langer dauern. 

Der als ROM ausgeruhrte Testspeicher ist Bestandteil des 
auf dem Halbleiter-Chip Vorhandenen ROMs, das auch An- 
wenderprogramme wie das Betriebssystem und haufig ver- 
wendete Unterprogramme wie EEPROM-Schreib- und 
Loschprogramme enthalt. Der Testspeicherbereich nimmt 
also einen Teil des Adressraums des ROMs in Anspruch, so 
daB ein irrturnlicher oder auch absichtlicher und miBbrauch- 
licher Einsprung in diesen Adressbereich moglich ist, selbst 
wenn durch bestimmte MaBnahmen ein Zugriff auf diesen 
Adressbereich des ROMs nach den durchgefuhrten Tests zu 
unterbinden versucht wird. 

Die bisherige Reahsierung hat also den Nachteil einer- 
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seits zu langsam zu sein, so daB die Tests zu lange dauern 
und damit teuer sind und andererseits auch nach dem Test 
einen Zugriff auf die Testroutinen zu ermoglichen, da diese 
in einem ROM quasi fest verdrahtet sind oder in einem EE- 
5 PROM moglicherweise nicht-fliichtig auf dem Chip verbiei- 
ben konnen. ! 

Die Aufgabe vorliegender Erfindung ist es also, eine 
Schaltungsanordnung anzugeben, die einen schnellen Test 
erlaubt und einen hbhen Schutz vor MiBbrauch bietet. 
10 Die Aufgabe wird durch eine integrierte Schaltung gelost, 
die zumindest eine CPU, ein Anwender-ROM, ein Test- 
ROM und eine CPU-intemes RAM umf aBt, Der AdreBraum 
des Test-ROMs liegt dabei. innerhalb des AdreBraums des 
Anwender-ROMs, wobei in erfindungsgemaBer Weise ein 
15 Schaltmittel vorgesehen ist, das einen Zugriff nur entweder 
auf das Anwender-ROM oder das Test-ROM ermoglicht In 
vorteilhafter Weiterbildung ist das Schaltmittel irreversibel 
in einen Zustand versetzbar, der nur einen Zugriff auf das 
Anwender-ROM erlaubt. Auf diese Weise kann nach Ab- 
20 schluB der Testphase das Test-ROM gesperrt werden, ohne 
daB dessen friiherer AdreBraum nicht mehr belegt ist Es ist 
somit keine Liickeiim zur Verfiigung stehenden AdreBbe- 
reich vorhanden, in! dem gesperrte Speicherbereiche liegen 
konnen, so daB ein Angreifer hieraus keinen Nutzen Ziehen 
25 kann. 

In Weiterbildung *der Erfindung steht im Test-ROM ledig- 
lich ein zum Starten eines Tests unbedingt erforderliches 
Testbeginnprogramin. Damit werden die eigentlichen Te- 
stroutinen in ein CPjU-extemes, also zusatzliches RAM, ein 
30 sogenanntes X-RAM geschrieben, von wo sie dann ausge- 
fuhrt werden. 

Ein erfindungsgemaBes Verfahren ist in Anspruch 7 ange- 
geben. Eine Speicherung der Testroutine lediglich in einem 
X-RAM hat den Vorteil, daB nach einem Test durch Ab- 
35 schalten der Versorgjungsspannung die Testroutinen geloscht 
werden konnen, da das X-RAM fliichtig ist. 

Bei Chipkartenahwendungen steht normalerweise nur ein 
serielles Eingangs/Ausgangstor zur Verfugung, da dort nur 
eine begrenzte Anzahl von Kontakten zur Kommunikation 
40 mit der AuBenwelt vorgesehen ist. Die Serien/Parallel- bzw. 
Parallel/Serien- Wanjdlung ubemimmt der von der CPU ge- 
steuerte Akkumulator. Dies erfolgt softwaregesteuert und ist 
entsprechend langsam. In Weiterbildung der Erfindung ist 
deshalb ein aktivier- und deaktivierbares Schieberegister 
45 vorhanden, das das Eingangs/Ausgangstor zusatzlich mit ei- 
nem internen Bus verbindet. Damit konnen die Testroutinen 
wesentlich schneUer in das X-RAM geschrieben werden. 

In weiterer Ausbildung der Erfindung kann dieses Schie- 
beregister dazu benutzt werden, wahrend eines Test auftre- 
50 tende Signale zur Unerwachung nach auBen in das Testgerat 
zu iiberfuhren. Damit kann der Ibst sicherer und schneller 
gemacht werden. Ed ist dabei vorteilhaft, diese Signale vor 
der Obertragung zu verschlusseln, was in vorteilhafter 
Weise durch eine liheare oder nicht-lineare Riickkopplung 
55 des Schieberegisters, beispielsweise durch ein XOR-Gatter, 
geschehen kann. Es sind aber auch andere Gatterfunktionen 
moglich. 

Die Erfindung wird nachfolgend anhand eines Ausfuh- 
rungsbeispiels mit Hilfe von Fig. naher beschrieben. Dabei 
60 zeigen: 

Fig. 1 ein Blockschaltbild einer erfindungsgemaBen inte- 
grierten Schaltung und 

Fig. 2 ein detailiierteres Schaltbild einer vortcilhaften 
Ausfiihrung der Erfindung. 
65 GemaB Fig. 1 sind eine CPU samt ihr zugeordnetem 
RAM, ein zusatzliches X-RAM sowie ein nicht- fluchtiges 
. EEPROM uber einen Bus miteinander verbunden. Ein seri- 
elles Eingangs/ Ausgangstor I/O ist mit dem in der CPU ent- 
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haltenen (nicht dargestellten) Akkumulator, der auch zur Se- 
rien/Parallel-Wandlung dient iiber den Bus verbunden. Ein 
ROM, in dem iiberwiegend Anwendersoftware enthalten ist 
und ein Test-ROM sind iiber ein Sc baltmittel MUX, das ein 
Multiplexer sein kann, ebenfalls mit dem Bus verbunden. 5 
Das Schaitmittel MUX ist bei spiels weise iiber das Ein- 
gangs/ Ausgangstor I/O gesteuert durch die CPU ansteuer- 
bar, was durch einen Pfeil St angedeutet isL 

In erfindungsgemaBer Weise kann iiber das Schaitmittel 
MUX immer nur entweder das ROM oder das Test-ROM 10 
mit dem Bus verbunden und adressiert werden. Die Adres- 
sen, mit denen das ROM adressiert werden kann, sind zu- 
mindest teilweise identisch mit den Adressen, mit denen das 
Test- ROM adressiert werden kann. Es ist daher anhand der 
Adressen nicht zu erkennen, ob das ROM oder das Test- 15 
ROM adressiert ist 

Der Bus ist iiber das Schaitmittel MUX irreversibel mit 
dem ROM verbindbar, so daB nach Ablauf der Testphase das 
Test-ROM vollstandig vom Bus abgetrennt werden kann. 

Im Test-ROM ist vorzugs weise lediglich ein fur den Start 20 
eines Tests erforderliches Testbeginnprograrnm abgespei- 
chert. Dieses wird nach einem Power-on-Reset aufgerufen, 
so daB Testroutinen von auBerhalb in das X-RAM geladen 
und von dort ausgefuhrt werden konnen. Das Schreiben der 
Testroutinen in das X-RAM hat den Vorteil, daB dieser Vor- 25 
gang einerseits wesentlich schneller ablauft und andererseits 
nur fliichtig ist, so daB die im X-RAM stehenden Testrouti- 
nen beispielsweise durch Abschalten der Versorgungsspan- 
nung schnell wieder geloscht werden konnen. Nach Ab- 
schluB des Tests wird das Schaitmittel MUX irreversibel in 30 
einen Zustand gebracht, der einen Zugriff auf das Test-ROM 
iiber den Bus unmoglich macht. 

Fig, 2 zeigt etwas detaillierter eine vorteilhafle Weiterbil- 
dung der erfindungsgemaBen integrierten Schaltung. Das 
Eingangs/Ausgangstor I/O ist wie bereits erwahnt iiber ei- 35 
nen AdreBdekoder mittels einer SPR (Special Function Re- 
gister)- Adresse iiber den Bus. von der CPU adressierbar, die 
ihrerseits parallele Verbindungen zum Bus hat. Wenn das 
Eingangs/ Ausgangstor I/O iiber die SFR- Adresse angesteu- 
ert wird, werden die ein- und ausgehenden Daten iiber den 40 
Bus zur bzw. von der CPU transportiert In der CPU kann 
programmgesteuert mittels des Akkumulators eine Serien/ 
Parallel- beziehungs weise Parallel/Serienwandlung ein- be- 
ziehungsweise ausgehender Daten stattflnden. 

In erfindungsgemaBer Weise ist parallel zu diesem Uber- 45 
tragungspfad ein Schieberegister SR geschaltet, mittels dem 
eine schnelle Serien/Parallel- beziehungs weise Parallel/Se- 
rien-Wandlung wahrend der Testphase erfolgen kann. Das 
Schieberegister SR wird von der CPU ebenfalls iiber eine 
SFR- Adresse angesprochen und gelesen. Hierzu ist ein ent- 50 
sprechender AdreBdecoder SFR beim Schieberegister SR 
vorgesehen. Uber diese SFR- Adresse ist das Schieberegister 
von der CPU auch aktivier- und deaktivierbar. 

Damit erkannt werden kann, wann ein zu wandelndes 
Wort in das Schieberegister SR eingeschrieben ist, ist ein 55 
Zahler Z vorgesehen, der die Takte CI, mit dem die Informa- 
tion in das Schieberegister SR eingeschrieben werden, zahlt 
und jeweils nach einem Wort ein Signal an die CPU abgibt, 
die das Einschreiben in das X-RAM steuert. 

Da eine CPU in integrierten Schaltungen iiblicherweise 60 
8Bit parallel verarbeiten kann, geniigt im Prinzip ein 8Bit 
langes Schieberegister. Zur Synchronisation des Datenstro- 
mes muB dann ein einzelnes Startbit ausreichen. Nach je- 
weils 8 vom Zahler Z gezahlten Takten findet dann eine Se- 
rien/Parallel-Wandlung beim Einlesen statt, indem der In- 65 
halt des Schieberegisters SR parallel auf den Bus gegeben 
wird. 

Es ist aber auch moglich, vor jedem einzulesenden Byte 



ein Startbit zu sendeh, wodurch die Verwendung eines Per- 
sonal Computers als [Tester vereinfacht wiirde. Dann ist aber 
ein 9Bit langes Schieberegister notig. AuBerdem ware die 
Dateniibertragungsrate geringer. 

Die Erfindung laBt sich prinzipiell bei jeder beliebigen 
von einer CPU verarbeitbaren Wortbreite anwenden also 
insbesondere auch rjei 16Bit- und 32Bit-Zentraleinheiten. 
Das Schieberegister muB dann lediglich eine entsprechende 
Lange haben. 

Ein moglicher Ablauf eines Tests lauft wie folgt ab: Zu- 
nachst sendet der Tester eine logische "0", um den Beginn 
eines Datentransfers 1 anzuzeigen. Damit wird der Zahler Z 
freigegeben, der nach jeweils 8 Takten anzeigt, daB ein Byte 
abzuholen isL Die CPU kann dies durch ein spezielles Si- 
gnal erfahren, es ist aber genau so gut moglich, diesen Zeit- 
raurn durch eine Software einzustellen. In der Warteschleife, 
in der die CPU auf den Beginn einer Ubertragung wartete, 
wurde vorher der AdreBzahler des X-RAMs auf seinen An- 
fang eingestellt. Nach der Ubertragung wird nun zunachst 
die Testroutine aufgerufen, anschlieBend springt die CPU 
wieder in die Empfangs-Warteschleife. 

In der Pause zwischen zwei Ubertragungen ist es mog- 
lich, den Zahler Z wjeiterlaufen zu lassen. Dadurch konnen 
interne Signale 8 Takte lang mit dem Systemtakt CI mit dem 
Inhalt des Schieberegisters SR uber eine beliebige Funktion 
wie zum Beispiel ein XOR verkniipft werden (Sammel- 
phase) und in den nachsten 8 Takten ausgegeben werden 
(Ausgabephase). Die Verknupfung ist durch einen Doppel- 
pfeil vom Schieberegister SR zum XOR-Gatter angedeutet. 
Tatsachlich wird das Ausgangssignal des Schieberegisters 
SR iiber das XOR auf seinen Eingang riickgekoppelt wer- 
den. Das XOR kann zum Zwecke der Verschliisselung ge- 
steuert von der CPU ein- bzw. ausgeschaltet werden. Dies ist 
durch einen Pfeil Pf angedeutet. In jeder Sammelphase kann 
dieser Vorgang durch ein Startbit unterbrochen werden, so 
daB ein neuer Datenstrom empfangen werden kann. Die Ver- 
kniipfung der internen Signale mit dem Inhalt des Schiebe- 
registers SR wahrend der Sammelphase hat zwei Griinde. 
Zum einen konnen dadurch alle 8 Werte, die in der Sammel- 
phase verkniipft werden, auf ihre Korrektheit gepruft wer- 
den; zum anderen wird dadurch kein Originalsignal an die 
AuBenwelt weitergegeben, so daB ein MiBbrauch dieser In- 
formation fur potentielle Angreifer nicht moglich ist. 

Diese vorteilhafteiWeiterbildung dient der Erhohung der 
Testabdeckung und der friiheren Erkennung von defekten 
Chips, sofern die Defekte an den beobachteten internen Si- 
gnalen erkennbar sind. 

Patentanspriiche 

1. Integrierte Schaltung mit einer CPU, einem An wen- 
der-ROM sowie einem diese verbindenden Bus, ge- 
kennzeichnet durch ein ebenfalls mit dem Bus ver- 
bundenes Test-ROM, dessen Adressraum innerhalb des 
Anwender-ROM-Adressraums liegt, ein mit dem Bus 
verbundenes, CPU-externes RAM (XRAM) sowie ein 
Schaitmittel (MUX), das einen Zugriff nur entweder 
auf das Anwender-ROM oder das Test-ROM ermog- 
licht. 

2. Integrierte Schaltung mit einer CPU, einem Anwen- 
der-ROM sowie einem diese verbindenden Bus, auf die 
ein Zugriff nur uber zumindest ein serielles Eingangs- 
/Ausgangstor (I/O) moglich ist und eine interne Serien/ 
Parallel- Wandliing einkommender bzw. Parallel/Seri- 
enwandlung ausgehender Daten Programmgesteuert 
durch die CPU erfolgt, gekennzeichnet durch ein eben- 
falls mit dem Bus verbundenes Test-ROM, dessen 
Adressraum innerhalb des Anwender-ROM-Adress- 



IV I 11 4/5 A 1 



raums liegt, ein CPU-extemes RAM (XRAM) sowie 
ein Schaltmittel (MUX), das einen Zugriff nur entwe- 
der auf das Anwender-ROM oder das Test-ROM er- 
moglicht. 

3. Integrierte Schaitung nach Anspruch 1 oder 2, da- 5 
durch gekennzeichnet, daB das Schaltmittel (MUX) ir- 
reversibel in einen Zustand bringbar ist, der nur einen 
Zugriff auf das Anwender-ROM erlaubt. 

4. Integrierte Schaitung nach Anspruch 2 oder 3, da- 
durch gekennzeichnet, daB das serielle Eingangs-/Aus- 10 
gangstor (I/O) zur Serien/Parallel-Wandlung zusatzlich 
iiber ein aktivier- und deaktivierbares Schieberegister 
(SR) mit einem internen Bus verbindbar ist. 

5. Integrierte Schaitung nach Anspruch 4, dadurch ge- 
kennzeichnet, daB die Deaktivierung des Schieberegi- 15 
sters (SR) irreversibel durchfuhrbar ist. 

6. Integrierte Schaitung nach Anspruch 4, dadurch ge- 
kennzeichnet, daB das Schieberegister (SR) iiber ein lo- 
gisches Gatter (XOR) riickgekoppelt ist. 

7. Verfahren zum Testen einer integrierten Schaitung, 20 
die eine CPU und ein Test-ROM sowie ein CPU-exter- 
nes RAM aufweist, mit den Schritten: 

- nach einem Power-On-Reset wird ein im Test- 
ROM implementiertes Testbeginnprogramm akti- 
viert, 25 

- gesteuert durch das Testbeginnprogramm wer- 
den Testroutinen in das RAM geladen und von 
dort durch die CPU ausgefuhrt, 

- nach dem Ende des Tests werden die Testrouti- 
nen im RAM geloscht und ein Ausfuhren des im 30 
Test-ROM implementierten Testbeginnpro- 
gramrns irreversibel unterbunden. 

8. Verfahren nach Anspruch 7, dadurch gekennzeich- 
net, daB die Testroutinen iiber ein serielles Eingangs- 
/Ausgangstor (I/O) und einen zuschaltbaren Serien/ 35 
Parallel-Wandler in das RAM geschrieben werden. 



Hierzu 1 Seite(n) Zeichnungen 

40 



45 



50 



55 



60 



65 




U ■ ••• 



- . . 




INUlNUtlN OCI I C I 



iNummer: 
Int. CL 6 : 

Offenlegungstag: 



1*1:13/ 11 4/8 Al 
G06F 12/14 

1. October 1998 



FIG 1 



EEPROM 




FIG 2 




802 040/90 



